Автор |
Сообщение |
LordZ
Зарегистрирован: 06 фев 2010, 15:36 Сообщения: 7
|
Я с Циской почти не знаком но вот сейчас довелось начать с ней работать. Основную часть мне настройл друг и обяснил что и как делать. Но выскочила проблемка а друг к сожелению не доступен а работку надо сдать до понедельника....В общем у меня почему-то не резолвяться ДНС сервера находящиися за ASA...Вот конфиг ассеss листа Код: ftp mode passive access-list acl_out remark ACL IN on OUTSIDE INTERFACE access-list acl_out extended permit icmp any any access-list acl_out extended permit tcp any any eq ssh access-list acl_out extended permit tcp any any eq https access-list acl_out extended permit tcp any any eq www access-list acl_out extended permit tcp any any eq 5900 access-list acl_out extended permit tcp any any eq 5901 access-list acl_out extended permit tcp any any eq domain access-list acl_out extended permit udp any any eq domain access-list acl_isnet remark ACL IN on ISNET INTERFACE access-list acl_isnet extended permit icmp any any access-list acl_isnet extended permit ip any any access-list acl_prnet remark ACL IN on PRNET INTERFACE access-list acl_prnet extended permit icmp any any access-list acl_prnet extended permit ip any any pager lines 24 logging asdm informational
Спасибо за любой совет.
|
06 фев 2010, 17:57 |
|
|
Ilya
Зарегистрирован: 20 окт 2009, 18:55 Сообщения: 962
|
а можно схемку?
|
06 фев 2010, 19:26 |
|
|
LordZ
Зарегистрирован: 06 фев 2010, 15:36 Сообщения: 7
|
ISP Main ISP Backup ------------- ------------------ | | | | | | ---------------------- ---------- | Catalys 3750 | ----| ASA | ---------------------- ---------- | | | -------------------- INT NET
Извините конечно за тупую схему ну сейчас в дороге и никак не могу нарисовать нормальную схему. Бэкап канал от того же провайдера через HSRP.
|
06 фев 2010, 19:34 |
|
|
Ilya
Зарегистрирован: 20 окт 2009, 18:55 Сообщения: 962
|
1. запрос не проходит из инета вовнутрь? 2. адреса у серверов глобальные?
|
06 фев 2010, 19:41 |
|
|
LordZ
Зарегистрирован: 06 фев 2010, 15:36 Сообщения: 7
|
Да адреса глобальные. Скорее всего да. Вот что дает сканирование nmap-ом Код: lordz@infiniti:~$ nmap -P0 193.104.211.81
Starting Nmap 5.00 ( http://nmap.org ) at 2010-02-06 19:47 EET Interesting ports on 193.104.211.81: Not shown: 998 filtered ports PORT STATE SERVICE 22/tcp open ssh
Nmap done: 1 IP address (1 host up) scanned in 6.65 seconds
А вот когда захожу по ссх на сервер то то же самое сканирование дает мне что на самом сервере слушает и ДНС.
|
06 фев 2010, 20:48 |
|
|
Ilya
Зарегистрирован: 20 окт 2009, 18:55 Сообщения: 962
|
странно. судя по аксесс-листу порт 21/ftp должен быть закрыт...
а можно выводы этих команд:
sh run static sh run access-group
|
06 фев 2010, 20:51 |
|
|
LordZ
Зарегистрирован: 06 фев 2010, 15:36 Сообщения: 7
|
Вот что мы имеем Код: asa# sh run static asa# sh run access-group access-group acl_out in interface outside access-group acl_isnet in interface isnet access-group acl_prnet in interface prnet
|
06 фев 2010, 21:01 |
|
|
Ilya
Зарегистрирован: 20 окт 2009, 18:55 Сообщения: 962
|
глупый вопрос а из локалки сервер отвечает?
|
06 фев 2010, 23:14 |
|
|
LordZ
Зарегистрирован: 06 фев 2010, 15:36 Сообщения: 7
|
Ilya, спасибо...все было правельно на Циске...я туплю...траффик блокировал iptables на сервере.
|
06 фев 2010, 23:52 |
|
|
Ilya
Зарегистрирован: 20 окт 2009, 18:55 Сообщения: 962
|
не за что, собственно
|
07 фев 2010, 10:59 |
|
|
LordZ
Зарегистрирован: 06 фев 2010, 15:36 Сообщения: 7
|
Проблема решена, топик можно закрыть и поместить в "Решенные Безопасность"
|
08 фев 2010, 13:05 |
|
|